Phishing

O phishing, uma das fraudes digitais mais conhecidas atualmente, tem raízes que remontam à década de 1990, quando a AOL (America Online) se destacou como um dos principais provedores de internet. Naquela época, muitos usuários buscavam maneiras de acessar a internet sem pagar, levando a um aumento de atividades ilegais, como a troca de softwares piratas. Os hackers adolescentes, em busca de mais tempo online, desenvolveram o programa AOHell, que automatizou o roubo de contas, marcando o início do phishing como o conhecemos hoje. A técnica envolvia enganar usuários leigos por meio de mensagens que simulavam comunicações legítimas da AOL, criando um senso de urgência para roubar credenciais de acesso. Apesar dos esforços da AOL para combater esses crimes, como alertas sobre a segurança das senhas, o phishing evoluiu e se sofisticou, aproveitando-se da psicologia humana e das novas tecnologias. Atualmente, o phishing continua a ser uma ameaça significativa, com métodos mais elaborados, impulsionados pelo avanço da inteligência artificial e pela diversidade de dispositivos utilizados pelos criminosos.

Um levantamento da ESET, empresa de cibersegurança, revelou as principais ameaças digitais enfrentadas no Brasil em 2025, destacando a prevalência dos trojans bancários e ataques de phishing. Os trojans bancários, representados por 11,47% das detecções, são malwares que visam sistemas financeiros, explorando a crescente digitalização das transações. O phishing, em segundo lugar com 7,49%, continua a ser uma técnica comum, utilizando engenharia social para enganar as vítimas. Outras ameaças notáveis incluem o Downloader Rugmi (6,48%), que prepara o terreno para a instalação de malwares, e o Guildma (5,8%), um trojan que finge ser um aplicativo seguro para roubar informações financeiras. O Kryptik (5,08%) fecha a lista, sendo utilizado para propagar outros malwares. Para se proteger, a ESET recomenda o uso de antivírus atualizados, cautela com comunicações suspeitas e programas de conscientização em empresas. O estudo ressalta a importância da conscientização e da proteção contra essas ameaças em um cenário digital em constante evolução.

O início do ano é um período crítico para fraudes digitais no Brasil, especialmente relacionadas a impostos e cobranças. Entre os golpes mais comuns estão: 1) IPVA e IPTU atrasado, onde golpistas enviam mensagens com links para páginas falsas que imitam portais governamentais, induzindo vítimas a transferências via Pix; 2) Irregularidade no imposto de renda, com mensagens fraudulentas se passando pela Receita Federal, solicitando dados pessoais e taxas inexistentes; 3) Cobrança do MEI, que alerta sobre cancelamento de CNPJ, levando a sites falsos; 4) Maquininha quebrada, onde vendedores manipulam pagamentos para cobrar valores superiores; 5) Golpe do brinde, que envolve taxas de entrega ou reconhecimento facial para acessar pacotes. Para se proteger, é essencial desconfiar de mensagens alarmistas, verificar remetentes, evitar links suspeitos e confirmar dados antes de realizar transações financeiras. A instalação de antivírus e o uso de senhas fortes também são recomendados.

Os infostealers são malwares projetados para roubar informações sensíveis de sistemas infectados, operando de forma discreta e silenciosa. Ao contrário de ransomwares, que sequestram dados, os infostealers se concentram em coletar credenciais, como nomes de usuário e senhas, armazenadas em navegadores como Google Chrome e Firefox. Esses dados são enviados para servidores controlados por cibercriminosos, permitindo acesso a contas de e-mail e redes sociais sem a necessidade de autenticação adicional.

Uma nova campanha de phishing tem utilizado o Google Cloud para roubar credenciais de login de empresas em todo o mundo, conforme identificado por pesquisadores da Check Point. O ataque já afetou mais de 3 mil organizações, com a maioria das vítimas localizadas nos Estados Unidos, Brasil e México. Os hackers exploram a ferramenta Google Cloud Application Integration para enviar e-mails maliciosos que parecem legítimos, utilizando domínios reais do Google. Isso permite que os filtros de segurança não sejam acionados, levando os funcionários a clicarem em links fraudulentos.

Um novo golpe de cibersegurança tem chamado a atenção ao utilizar um pacote de API falso do WhatsApp, conhecido como ’lotusbail’, que já foi baixado mais de 56 mil vezes desde seu lançamento em maio de 2025. Especialistas da Koi Security alertam que, embora o pacote pareça funcional, ele é projetado para roubar credenciais do WhatsApp, interceptar mensagens e instalar um backdoor persistente no dispositivo da vítima. O ataque se concretiza através da captura de tokens de autenticação, permitindo que os hackers vinculem seu dispositivo à conta da vítima sem que esta perceba. Mesmo após a desinstalação do pacote, o acesso à conta permanece, pois a vinculação não é removida automaticamente. O malware utiliza técnicas de antidepuração para evitar ser detectado, tornando-se um risco significativo para os usuários do WhatsApp. Este incidente destaca a necessidade urgente de conscientização e proteção contra ameaças digitais, especialmente em plataformas amplamente utilizadas como o WhatsApp.

Um novo golpe está afetando usuários de Android na Turquia, onde criminosos estão utilizando aplicativos relacionados ao sistema jurídico para disseminar um trojan chamado Frogblight, que tem como objetivo roubar dados bancários. O malware foi identificado pela primeira vez em agosto de 2025 e é propagado por meio de smishing, uma técnica de phishing que utiliza mensagens SMS fraudulentas. As vítimas recebem mensagens que alegam envolvimento em processos judiciais ou a possibilidade de receber auxílio financeiro, levando-as a clicar em links que baixam aplicativos maliciosos.

O grupo de cibercrime conhecido como Silver Fox, originário da China, está direcionando suas campanhas de phishing para a Índia, utilizando iscas relacionadas a impostos de renda para disseminar um trojan modular de acesso remoto chamado ValleyRAT. A análise da CloudSEK revela que esses ataques sofisticados empregam uma cadeia de ataque complexa, incluindo o sequestro de DLLs e a persistência do malware. Os e-mails de phishing contêm PDFs falsos que, ao serem abertos, redirecionam os usuários para um domínio malicioso onde um arquivo ZIP é baixado. Este arquivo contém um instalador que, por sua vez, utiliza um executável legítimo para instalar o ValleyRAT, que se comunica com um servidor externo e pode realizar atividades como registro de teclas e coleta de credenciais. A campanha também se beneficia de técnicas de SEO para distribuir instaladores de backdoor de aplicativos populares, visando principalmente indivíduos e organizações de língua chinesa. A NCC Group identificou um painel de gerenciamento exposto que rastreia a atividade de downloads relacionados a esses instaladores maliciosos, revelando que a maioria dos cliques nos links de download se originou da China, seguida por outros países. Essa situação destaca a necessidade de vigilância e medidas de segurança robustas para mitigar os riscos associados a esses ataques.

Recentemente, um hacker conhecido como ‘Lovely’ invadiu os sistemas da Condé Nast, resultando no vazamento de dados sensíveis de mais de 2,3 milhões de leitores da WIRED. As informações comprometidas incluem e-mails, nomes, números de telefone, endereços e detalhes de contas. O hacker, que alegou não ter intenções maliciosas, tentou alertar a empresa sobre vulnerabilidades em seus sistemas, mas sem sucesso. Após um mês sem resposta, decidiu divulgar os dados em fóruns de hackers, onde outros usuários podem acessá-los mediante pagamento. Lovely também afirmou ter acesso a dados de outras publicações da Condé Nast, como Vogue e Vanity Fair. Especialistas em segurança alertam que os dados vazados podem ser utilizados em ataques de phishing, e recomendam que os usuários fiquem atentos a e-mails suspeitos, especialmente aqueles que se passam pela Condé Nast ou suas marcas. A situação destaca a importância da segurança de dados e a necessidade de vigilância constante por parte dos usuários.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing que utilizou 27 pacotes maliciosos no registro npm para roubar credenciais. A operação, que durou cinco meses, visou principalmente profissionais de vendas e comerciais em organizações de infraestrutura crítica nos EUA e países aliados. Os pacotes, que não precisam ser instalados, servem como infraestrutura para hospedar iscas em HTML e JavaScript que imitam portais de compartilhamento de documentos e páginas de login da Microsoft. Os atacantes implementaram várias técnicas para dificultar a análise, como a obfuscação do código e a inclusão de campos de formulário honeypot. Além disso, os pacotes continham endereços de e-mail de 25 indivíduos específicos em setores como manufatura e saúde, levantando suspeitas sobre como os atacantes obtiveram essas informações. Para mitigar os riscos, é crucial que as organizações reforcem a verificação de dependências, monitorem solicitações incomuns de CDNs e implementem autenticação multifator resistente a phishing.

Com a chegada das festas de fim de ano, a atividade de golpistas aumenta, tornando essencial a adoção de medidas de segurança online. Especialistas da Norton VPN alertam que um simples clique em um link malicioso pode transformar as compras natalinas em um pesadelo. O aumento de sites fraudulentos, que cresceu mais de 250% antes do Black Friday de 2025, destaca a importância de estar atento a ofertas que parecem boas demais para serem verdade. Os golpistas estão se adaptando, utilizando e-mails, mensagens de texto e chamadas telefônicas para enganar os consumidores. Para se proteger, é fundamental usar o bom senso, verificar a legitimidade das ofertas digitando o endereço do site diretamente no navegador e não se deixar levar pela pressão do tempo. Além disso, ferramentas como proteção contra fraudes por IA e VPNs podem ajudar a mitigar riscos. A conscientização e a cautela são as melhores defesas contra essas ameaças durante a temporada de compras.

Com a aproximação das festas de fim de ano, golpistas estão aproveitando o aumento do tráfego de e-mails para aplicar fraudes que visam roubar informações pessoais e bancárias. Segundo a análise da X-Labs, os golpes se disfarçam como promoções de Natal ou notificações de pedidos, utilizando mensagens que parecem legítimas para evitar a desconfiança dos usuários. Esses e-mails, que passam por sistemas de envio em massa, apresentam formatação limpa e opções de cancelamento, o que ajuda a driblar sistemas básicos de detecção de spam.

O Brasil enfrenta uma crescente onda de golpes digitais, que utilizam engenharia social, inteligência artificial e automação para enganar vítimas. Os golpistas se aproveitam de eventos de grande visibilidade, como a declaração do Imposto de Renda e programas sociais, para criar campanhas de phishing que induzem as pessoas a fornecer dados pessoais ou realizar transferências via Pix. O uso de canais variados, como e-mails, SMS (smishing) e redes sociais, amplia o alcance dessas fraudes. Técnicas como vishing, whaling e clone phishing são comuns, e a clonagem de contas de WhatsApp se tornou uma prática recorrente, onde golpistas se passam por conhecidos para solicitar dinheiro. Para se proteger, é essencial ativar a verificação em duas etapas e estar atento a mensagens suspeitas. O aumento de 80% nas tentativas de phishing no Brasil, com mais de 553 milhões de ataques bloqueados em um ano, destaca a urgência de medidas de segurança mais robustas tanto para indivíduos quanto para empresas.

O Departamento de Justiça dos EUA anunciou a apreensão do domínio web3adspanels[.]org, que era utilizado para facilitar um esquema de fraude de tomada de conta bancária. Este domínio servia como um painel de controle para manipular credenciais de login bancário obtidas ilegalmente. Os criminosos veiculavam anúncios fraudulentos em motores de busca como Google e Bing, redirecionando usuários desavisados para sites falsos de bancos, onde suas credenciais eram coletadas por meio de um software malicioso. Até o momento, o esquema resultou em 19 vítimas nos EUA, incluindo duas empresas na Geórgia, com perdas estimadas em cerca de $28 milhões, sendo $14,6 milhões em perdas reais. O domínio apreendido armazenava as credenciais de login de milhares de vítimas e facilitava fraudes até recentemente. O FBI relatou mais de 5.100 queixas relacionadas a fraudes de tomada de conta bancária desde janeiro de 2025, totalizando perdas superiores a $262 milhões. O DoJ recomenda que os usuários sejam cautelosos ao compartilhar informações online, monitorem suas contas e utilizem senhas complexas.

Uma nova campanha de phishing tem como alvo usuários do Microsoft 365, com a identificação de um grupo de hackers possivelmente vinculado à Rússia. Desde setembro de 2025, esses ataques têm como foco organizações governamentais e militares dos Estados Unidos e Europa, visando entidades públicas, centros de pesquisa e instituições de ensino superior. Os criminosos estabelecem um contato inicial legítimo com as vítimas, agendando reuniões fictícias. Após esse contato, um link é enviado, supostamente para um documento no Microsoft OneDrive, mas que na verdade redireciona para uma página falsa que imita a conta do usuário. Ao copiar um código e clicar em “Avançar”, a vítima é levada a uma URL legítima de login, onde os hackers conseguem capturar as credenciais. A escolha dos alvos, que inclui setores críticos como energia e pesquisa, levanta preocupações sobre a segurança de informações sensíveis e a possibilidade de acesso a dados sigilosos.

Um levantamento da Check Point Software revelou que os golpes de cibersegurança durante o período natalino de 2025 estão mais sofisticados, utilizando inteligência artificial para automatizar fraudes. Entre as ameaças destacadas, estão e-mails de phishing com temática natalina, que somaram 33.502 casos nas últimas duas semanas, e a criação de 10.000 anúncios falsos diariamente em redes sociais. Os golpistas têm se aproveitado de eventos como a Black Friday para lançar sites de varejo falsos, que imitam operações legítimas, incluindo carrinhos de compra e confirmações de e-mail. Além disso, golpes de sorteios e promoções fraudulentas têm inundado plataformas como Facebook e Instagram, onde contas recém-criadas alegam que as vítimas ganharam prêmios, solicitando taxas de envio. Para se proteger, os especialistas recomendam verificar URLs, desconfiar de solicitações de pagamento incomuns e evitar compartilhar informações pessoais sem ter buscado o serviço. O alerta é reforçado por instituições como o FBI e a Anatel, que promovem campanhas de conscientização como o movimento #FiqueEsperto.

Pesquisadores da Zimperium identificaram duas novas campanhas de phishing que utilizam arquivos PDF maliciosos para infectar dispositivos iPhone e Android, visando roubar dados dos usuários. O malware se disfarça como documentos legítimos, sendo disseminado através de mensagens de texto que enganam as vítimas, aproveitando-se da confiança que elas depositam em comunicações aparentemente oficiais. Uma das campanhas finge ser uma notificação de pagamento de pedágio eletrônico no estado de Massachusetts, enquanto a outra se apresenta como uma fatura falsa do PayPal relacionada a criptomoedas. Os criminosos criaram cerca de 2.145 domínios falsos para espalhar esses links maliciosos, aumentando a eficácia do ataque. A engenharia social é uma tática central, pois os hackers exploram a vulnerabilidade dos usuários em relação a comunicações que parecem vir de autoridades. É crucial que os usuários mantenham um nível elevado de desconfiança ao receber documentos inesperados, especialmente aqueles que solicitam ações imediatas, como pagamentos. A situação ressalta a importância de medidas de segurança cibernética robustas para proteger dados sensíveis contra essas ameaças.

O malware fileless é uma nova forma de ataque cibernético que opera diretamente na memória RAM dos dispositivos, evitando a detecção por ferramentas tradicionais de segurança. Diferente dos vírus convencionais, que se instalam no disco rígido, esse tipo de malware utiliza técnicas conhecidas como ‘Living off the Land’, que aproveitam ferramentas legítimas do sistema, como PowerShell e macros do Office, para realizar ações maliciosas. O ataque geralmente começa com e-mails de phishing ou documentos comprometidos, que, ao serem abertos, executam comandos ocultos que não deixam vestígios permanentes no sistema. Isso torna a detecção extremamente difícil, pois não há arquivos maliciosos a serem escaneados. Casos como o da Equifax, onde dados de 147,9 milhões de pessoas foram expostos, ilustram a gravidade dessa ameaça. Para se proteger, é essencial atualizar softwares, ter cuidado com macros, usar ferramentas que monitoram comportamentos suspeitos e desativar funções desnecessárias. A vigilância constante e a higiene digital são fundamentais para evitar infecções por esse tipo de malware.

Uma nova campanha de phishing, identificada como GhostPairing, está sendo utilizada por cibercriminosos para roubar contas do WhatsApp. O ataque ocorre quando a vítima recebe uma mensagem de um contato conhecido, contendo um link que leva a uma página falsa do Facebook. Ao clicar, a vítima é induzida a fornecer seu número de telefone para ver um conteúdo supostamente legítimo. Em seguida, um código de pareamento é gerado e a vítima é instruída a usá-lo para vincular seu WhatsApp a um dispositivo comprometido. Isso permite que o hacker tenha acesso total ao histórico de conversas e mídias da vítima, possibilitando fraudes e enganos aos contatos da vítima sem que ela perceba. Embora a campanha tenha sido inicialmente observada na República Tcheca, especialistas alertam que pode se espalhar rapidamente para outras regiões. Para se proteger, é recomendado que os usuários verifiquem regularmente a aba de ‘dispositivos vinculados’ no WhatsApp e evitem clicar em links suspeitos.

Um grupo suspeito de estar alinhado à Rússia está sendo responsabilizado por uma campanha de phishing que utiliza fluxos de autenticação por código de dispositivo para roubar credenciais do Microsoft 365 e realizar ataques de tomada de conta. A atividade, que começou em setembro de 2025, é monitorada pela Proofpoint sob o nome UNK_AcademicFlare. Os ataques envolvem o uso de endereços de e-mail comprometidos de organizações governamentais e militares para atingir entidades em setores como governo, think tanks, educação superior e transporte nos EUA e na Europa. Os atacantes se apresentam como representantes de organizações legítimas e enviam links que supostamente levam a documentos relevantes, mas que na verdade redirecionam as vítimas para uma página de login da Microsoft. Ao inserir o código fornecido, os atacantes conseguem gerar um token de acesso e tomar controle da conta da vítima. A Proofpoint alerta que essa técnica de phishing foi documentada anteriormente e está sendo utilizada por diversos grupos, tanto estatais quanto motivados financeiramente, para obter acesso não autorizado a dados sensíveis. Para mitigar os riscos, recomenda-se a criação de políticas de Acesso Condicional que bloqueiem esse fluxo de autenticação para todos os usuários ou que permitam apenas para usuários aprovados.

As autoridades da Nigéria anunciaram a prisão de três suspeitos de fraudes na internet, envolvidos em ataques de phishing que visavam grandes corporações, incluindo o desenvolvedor do esquema RaccoonO365, um serviço de phishing como serviço (PhaaS). O principal suspeito, Okitipi Samuel, também conhecido como Moses Felix, é acusado de operar um canal no Telegram onde vendia links de phishing em troca de criptomoedas e hospedava portais de login fraudulentos utilizando credenciais de e-mail roubadas. A investigação, realizada em colaboração com a Microsoft e o FBI, resultou na apreensão de laptops e dispositivos móveis relacionados à operação. O RaccoonO365 é um grupo motivado financeiramente que permite a coleta de credenciais ao criar páginas de phishing que imitam os logins do Microsoft 365. Desde julho de 2024, estima-se que o esquema tenha levado ao roubo de pelo menos 5.000 credenciais de usuários em 94 países. A Microsoft, em uma ação civil, processou indivíduos envolvidos na operação, destacando o impacto financeiro e as violações de propriedade intelectual resultantes desses crimes cibernéticos. Além disso, a Google também está processando operadores de outro serviço PhaaS, o Darcula, que tem causado uma onda de smishing nos EUA.

O SantaStealer é um novo malware do tipo ladrão de informações (infostealer) que está sendo comercializado em fóruns de hackers e no Telegram. Ele é uma versão rebranded do BluelineStealer e foi identificado por pesquisadores da Rapid7. O malware opera diretamente na memória do sistema, dificultando sua detecção. Com uma assinatura básica custando US$ 175 por mês, o SantaStealer oferece 14 módulos de coleta de dados, permitindo o roubo de informações de navegadores, senhas, cookies, histórico, contas de aplicativos como Telegram e Discord, além de documentos e dados de criptomoedas. Os dados são enviados para um servidor de comando e controle em pacotes de 10 MB. Embora tenha capacidades avançadas, o malware ainda não está totalmente operacional e não é amplamente distribuído. Os pesquisadores alertam sobre métodos de ataque como phishing e comandos colados no terminal do Windows, recomendando cautela ao abrir links e anexos suspeitos.

O grupo de ameaças cibernéticas norte-coreano Kimsuky está vinculado a uma nova campanha que distribui uma variante de malware para Android chamada DocSwap. O malware é disseminado por meio de QR codes hospedados em sites de phishing que imitam a empresa de logística CJ Logistics. Os atacantes utilizam QR codes e pop-ups de notificação para enganar as vítimas, levando-as a instalar o malware em seus dispositivos móveis. A aplicação maliciosa, ao ser instalada, decripta um APK embutido e ativa um serviço que permite controle remoto (RAT) do dispositivo. Para contornar as advertências de segurança do Android, os atacantes apresentam o aplicativo como uma versão oficial e segura. Além disso, a campanha utiliza mensagens de smishing e e-mails de phishing que se passam por empresas de entrega para atrair as vítimas. Uma vez instalado, o malware pode registrar teclas, capturar áudio, acessar a câmera, realizar operações de arquivos e coletar dados sensíveis, como mensagens SMS e contatos. O ataque também inclui amostras disfarçadas de aplicativos legítimos, como um VPN, demonstrando a evolução das táticas do grupo. A análise revela que os sites de phishing estão associados a campanhas anteriores de coleta de credenciais, aumentando a preocupação com a segurança dos usuários na Coreia do Sul e potencialmente em outros locais, incluindo o Brasil.

A Seqrite Labs, empresa de cibersegurança, identificou uma nova campanha de phishing chamada Operação MoneyMount-ISO, que visa instituições financeiras e contábeis, principalmente na Rússia. Os atacantes enviam e-mails que aparentam ser confirmações de pagamento, mas contêm arquivos ISO disfarçados. Esses arquivos, ao serem abertos, instalam um malware conhecido como Phantom Stealer, que é capaz de roubar informações sensíveis, como dados de carteiras de criptomoeda, senhas, cookies e detalhes de cartões de crédito. O malware também monitora a área de transferência do usuário e as teclas pressionadas, além de evitar a execução em ambientes virtuais. Os dados coletados são enviados aos criminosos via Telegram ou Discord, e um servidor FTP é utilizado para transferir arquivos. Recentemente, outra campanha semelhante afetou setores de recursos humanos e pagamentos, utilizando um malware diferente chamado DUPERUNNER. A Intrinsec, uma empresa de cibersegurança, sugere que muitos desses ataques estão relacionados a hackativistas ucranianos visando o setor financeiro russo, em meio ao conflito entre os dois países.

A Kaspersky revelou uma nova onda de ataques de phishing, atribuídos ao ator de ameaças ligado à Operação ForumTroll, que tem como alvo acadêmicos na Rússia, especialmente nas áreas de ciência política, relações internacionais e economia global. Detectados em outubro de 2025, esses ataques utilizam uma vulnerabilidade zero-day no Google Chrome (CVE-2025-2783) para implantar o backdoor LeetAgent e um spyware chamado Dante. Os e-mails fraudulentos se disfarçam como comunicações da eLibrary, uma biblioteca científica russa, e são enviados de um domínio registrado seis meses antes do início da campanha, indicando um planejamento cuidadoso. Os alvos são instruídos a clicar em links maliciosos para baixar um relatório de plágio, resultando no download de um arquivo ZIP que contém um atalho do Windows. Ao ser executado, esse atalho ativa um script PowerShell que baixa um payload malicioso, permitindo acesso remoto ao dispositivo da vítima. A Kaspersky alerta que a Operação ForumTroll tem um histórico de ataques a organizações e indivíduos na Rússia e Belarus desde 2022, sugerindo que a ameaça continuará a se expandir.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, está conduzindo uma campanha de roubo de credenciais direcionada a usuários do serviço de webmail e notícias UKR.net, popular na Ucrânia. Observada entre junho de 2024 e abril de 2025 pela Recorded Future, essa atividade se baseia em ataques anteriores que utilizavam malware e páginas de phishing. APT28, também conhecido como Fancy Bear, é associado ao GRU, a principal agência de inteligência militar da Rússia.

Pesquisadores de cibersegurança revelaram uma campanha de phishing ativa, denominada Operação MoneyMount-ISO, que está atacando diversos setores na Rússia, especialmente entidades financeiras e contábeis. Os e-mails de phishing se disfarçam como comunicações financeiras legítimas, solicitando a confirmação de transferências bancárias. Os anexos contêm arquivos ZIP que, ao serem abertos, revelam uma imagem ISO maliciosa, que, quando montada, executa o malware Phantom Stealer. Este malware é projetado para roubar dados de carteiras de criptomoedas, senhas de navegadores e tokens de autenticação do Discord, além de monitorar o conteúdo da área de transferência e registrar teclas digitadas. A exfiltração de dados é realizada através de um bot do Telegram ou um webhook do Discord controlado pelo atacante.

Os ataques cibernéticos modernos estão se transformando, com a identidade se tornando o principal alvo dos criminosos. Em um cenário onde 75% das organizações enfrentaram incidentes relacionados a SaaS no último ano, a maioria envolvendo credenciais comprometidas, a segurança da identidade se torna crucial. Os atacantes utilizam inteligência artificial (IA) para imitar usuários legítimos, contornando controles de segurança e operando de forma discreta em ambientes confiáveis. A IA é empregada em várias etapas do ataque, desde a coleta de informações sobre funcionários até a geração de identidades sintéticas que dificultam a detecção. O uso de modelos de linguagem avançados permite que os criminosos criem campanhas de phishing mais sofisticadas e personalizadas. Além disso, a automação de processos de ataque, como a exploração de credenciais, torna as operações mais eficientes e direcionadas, aumentando a probabilidade de sucesso. Com a identidade se tornando a nova linha de defesa, as empresas precisam reavaliar suas estratégias de segurança para proteger dados críticos em plataformas SaaS.

Cibercriminosos estão utilizando um aplicativo legítimo da Play Store, chamado Supremo, para realizar fraudes digitais, especialmente na Argentina e no Brasil. A ESET identificou que os golpistas se passam por funcionários de bancos nas redes sociais, enganando usuários para que baixem o aplicativo, que oferece suporte técnico e administrativo à distância. Após a instalação, as vítimas são induzidas a compartilhar um código de acesso, permitindo que os criminosos assumam o controle remoto de seus dispositivos. Isso possibilita o acesso a informações sensíveis, como dados bancários, resultando em roubos de dinheiro e contratações fraudulentas de empréstimos. Desde maio de 2024, esse golpe tem se intensificado, com anúncios direcionados a idosos nas redes sociais, prometendo descontos em serviços. A situação é preocupante, pois, entre 2024 e 2025, o número de fraudes digitais desse tipo cresceu significativamente no Brasil, com mais de 10 mil ocorrências registradas, gerando grandes prejuízos financeiros. Especialistas alertam para a importância de campanhas educativas sobre segurança digital e recomendam que os usuários nunca instalem aplicativos de acesso remoto a partir de orientações de terceiros.

Cibercriminosos estão utilizando táticas de engenharia social para se passar por autoridades policiais e obter acesso a dados pessoais de usuários de grandes empresas de tecnologia, como Apple e Google. Esses ataques incluem a criação de e-mails e sites que imitam endereços oficiais da polícia, com pequenas variações que podem passar despercebidas. Além disso, os criminosos também têm utilizado a técnica de Business Email Compromise (BEC), invadindo caixas de entrada de agentes e oficiais para enviar solicitações de dados que parecem legítimas. Embora as empresas de tecnologia estejam implementando portais de solicitação de dados mais rigorosos para verificar a autenticidade das solicitações, a vulnerabilidade ainda persiste, uma vez que os criminosos estão constantemente adaptando suas abordagens. A situação é preocupante, pois a entrega inadvertida de dados pessoais pode resultar em roubo de identidade e fraudes, colocando em risco a privacidade dos usuários e a conformidade com legislações como a LGPD no Brasil.

Uma nova ameaça de cibersegurança, identificada como DroidLock, está afetando dispositivos Android na Espanha, sequestrando celulares e espionando usuários através da câmera frontal. Detectado pela empresa Zimperium’s zLabs, o malware se espalha por meio de sites falsos, enganando as vítimas com telas de atualização falsas que as levam a entrar em contato com os hackers. Embora se assemelhe a um ransomware, o DroidLock não criptografa arquivos, mas utiliza permissões do dispositivo para alterar senhas e reconfigurar o aparelho, permitindo controle total aos criminosos. Através de uma tecnologia chamada VNC (Virtual Network Computing), os hackers conseguem acessar remotamente o dispositivo, coletando informações sensíveis, como logins e códigos de autenticação, que são enviadas para servidores controlados por eles. A situação é alarmante, especialmente para empresas, onde um simples clique em um link malicioso pode comprometer dados corporativos e a segurança de informações confidenciais. Especialistas alertam que a natureza agressiva do DroidLock pode causar danos significativos, tornando essencial que usuários e empresas adotem medidas de proteção adequadas.

Pesquisadores de cibersegurança identificaram quatro novos kits de phishing: BlackForce, GhostFrame, InboxPrime AI e Spiderman, que facilitam o roubo de credenciais em grande escala. O BlackForce, detectado pela primeira vez em agosto de 2025, é projetado para realizar ataques Man-in-the-Browser (MitB) e capturar senhas de uso único (OTPs), burlando a autenticação multifatorial (MFA). Vendido em fóruns do Telegram, o kit já foi utilizado para se passar por marcas renomadas como Disney e Netflix. O GhostFrame, descoberto em setembro de 2025, utiliza um iframe oculto para redirecionar vítimas a páginas de phishing, enquanto o InboxPrime AI automatiza campanhas de e-mail malicioso usando inteligência artificial, permitindo que atacantes simulem comportamentos humanos reais. Por fim, o Spiderman replica páginas de login de bancos europeus, oferecendo uma plataforma completa para gerenciar campanhas de phishing. Esses kits representam uma ameaça crescente, especialmente para empresas que dependem de autenticação digital, exigindo atenção redobrada das equipes de segurança.

Um novo kit de phishing, conhecido como Spiderman, foi identificado por especialistas da Varonis em circulação na dark web, visando clientes de bancos e provedores de serviços financeiros na Europa. Este kit permite que cibercriminosos automatizem ataques para roubar dados pessoais em tempo real, facilitando a criação de páginas falsas que imitam sites legítimos. O Spiderman é considerado uma das ferramentas mais perigosas de 2025, com ataques já registrados em cinco países, incluindo Alemanha, Bélgica e Espanha.

O grupo de ameaças persistentes avançadas (APT) conhecido como WIRTE tem sido responsável por ataques direcionados a entidades governamentais e diplomáticas no Oriente Médio desde 2020, utilizando uma nova suíte de malware chamada AshTag. A Palo Alto Networks está monitorando essa atividade sob o nome de Ashen Lepus, que recentemente ampliou seu foco para países como Omã e Marrocos, além de já ter atuado na Autoridade Palestina, Jordânia, Iraque, Arábia Saudita e Egito. Durante o conflito Israel-Hamas, o Ashen Lepus manteve suas operações, ao contrário de outros grupos que diminuíram suas atividades. O malware AshTag, um backdoor modular em .NET, permite execução remota de comandos e coleta de informações, disfarçando-se como uma ferramenta legítima. As táticas incluem o uso de e-mails de phishing com documentos relacionados a assuntos geopolíticos, levando a downloads de arquivos maliciosos que instalam o malware. A exfiltração de dados foi observada, com documentos diplomáticos sendo transferidos para servidores controlados pelos atacantes. A continuidade das operações do Ashen Lepus destaca a determinação do grupo em coletar inteligência, mesmo em tempos de conflito.

Uma vulnerabilidade crítica no WinRAR, software amplamente utilizado para compactação e extração de arquivos, está sendo explorada ativamente por grupos de hackers, conforme alerta da Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA). Identificada como CVE-2025-6218, a falha é do tipo travessia de diretório, permitindo a execução de códigos maliciosos através da inserção de caracteres enganosos que burlam o sistema operacional. Para que a exploração ocorra, a vítima deve acessar um arquivo ou página comprometida.

Um novo relatório da Recorded Future revela que o grupo de cibercriminosos conhecido como GrayBravo, anteriormente identificado como TAG-150, está utilizando um carregador de malware chamado CastleLoader em quatro clusters de atividade distintos. Este grupo é caracterizado por sua sofisticação técnica e rápida adaptação às reportagens públicas. O CastleLoader é um componente central de uma infraestrutura de malware como serviço (MaaS), permitindo que outros atores do crime cibernético o utilizem. Entre as ferramentas associadas ao GrayBravo estão o trojan de acesso remoto CastleRAT e o framework de malware CastleBot, que é responsável por injetar módulos maliciosos em sistemas vulneráveis. Os ataques são direcionados a setores específicos, como logística e transporte, utilizando técnicas de phishing e malvertising. A análise também destaca a utilização de contas fraudulentas em plataformas de correspondência de frete para aumentar a credibilidade das campanhas de phishing. A crescente adoção do CastleLoader por diversos grupos de ameaças indica uma proliferação rápida de ferramentas avançadas no ecossistema cibernético, o que representa um risco significativo para empresas em diversos setores.

O grupo de cibercriminosos conhecido como Storm-0249 está mudando sua abordagem, deixando de ser apenas um corretor de acesso inicial para adotar táticas mais sofisticadas, como spoofing de domínio, side-loading de DLL e execução de PowerShell sem arquivo, visando facilitar ataques de ransomware. Segundo um relatório da ReliaQuest, essas técnicas permitem que o grupo contorne defesas, infiltre redes e opere de forma indetectável, o que representa uma preocupação significativa para as equipes de segurança. O Storm-0249, que já foi identificado pela Microsoft como um corretor de acesso inicial, tem colaborado com outros grupos de ransomware, como o Storm-0501, vendendo acesso a redes corporativas. Recentemente, o grupo utilizou uma campanha de phishing com temas relacionados a impostos para infectar usuários nos EUA. Uma das táticas mais recentes envolve o uso de engenharia social para induzir as vítimas a executar comandos maliciosos, utilizando o utilitário legítimo “curl.exe” para baixar scripts PowerShell de domínios falsificados que imitam a Microsoft. Isso resulta na execução de pacotes MSI maliciosos com privilégios de sistema, permitindo que o grupo mantenha comunicação com servidores de comando e controle de forma furtiva. A mudança para ataques mais precisos, que exploram a confiança em processos assinados, aumenta o risco de ataques de ransomware direcionados, especialmente em um cenário onde grupos como LockBit e ALPHV utilizam identificadores de sistema únicos para criptografar dados de forma eficaz.

Organizações canadenses estão sendo alvo de uma campanha cibernética direcionada, orquestrada pelo grupo de ameaças STAC6565, conforme relatado pela empresa de cibersegurança Sophos. Entre fevereiro de 2024 e agosto de 2025, foram investigadas quase 40 intrusões ligadas a esse ator, que também é associado ao grupo de hackers Gold Blade. Inicialmente focado em espionagem cibernética, o grupo evoluiu para uma operação híbrida que combina roubo de dados com ataques de ransomware, utilizando um malware personalizado chamado QWCrypt.

Pesquisadores de cibersegurança revelaram detalhes sobre duas novas famílias de malware Android, FvncBot e SeedSnatcher, além de uma versão aprimorada do ClayRat. O FvncBot, disfarçado como um aplicativo de segurança do mBank, visa usuários de bancos na Polônia e é desenvolvido do zero, sem inspiração em trojans anteriores. Ele utiliza serviços de acessibilidade do Android para realizar fraudes financeiras, incluindo keylogging e injeções de web. O SeedSnatcher, distribuído via Telegram, tem como alvo frases-semente de carteiras de criptomoedas e intercepta mensagens SMS para roubar códigos de autenticação de dois fatores. Já o ClayRat, atualizado, abusa de permissões de SMS e acessibilidade, permitindo o controle total do dispositivo. As técnicas de evasão de detecção utilizadas por esses malwares incluem injeção de conteúdo em WebView e carregamento dinâmico de classes. A distribuição do FvncBot e do SeedSnatcher ainda não é clara, mas trojans bancários costumam usar phishing via SMS e lojas de aplicativos de terceiros como vetores de propagação. A crescente sofisticação desses malwares representa uma ameaça significativa para a segurança dos usuários de dispositivos Android, especialmente em um contexto onde a proteção de dados é crucial.

O grupo de hackers iraniano MuddyWater foi identificado utilizando uma nova backdoor chamada UDPGangster, que opera através do protocolo UDP para fins de comando e controle (C2). A atividade de ciberespionagem tem como alvo usuários na Turquia, Israel e Azerbaijão, conforme relatado pelo Fortinet FortiGuard Labs. O malware permite o controle remoto de sistemas comprometidos, possibilitando a execução de comandos, exfiltração de arquivos e implantação de cargas adicionais, tudo isso através de canais UDP que visam evitar defesas de rede tradicionais.

O phishing é uma técnica de cibercrime que visa enganar usuários para coletar dados sensíveis, como senhas e informações bancárias. Desde sua origem nos anos 1990, essa prática evoluiu, utilizando engenharia social e tecnologias avançadas, como inteligência artificial, para criar ataques mais sofisticados. Os cibercriminosos manipulam as vítimas por meio de mensagens que geram urgência ou curiosidade, como alertas de contas bloqueadas ou ofertas imperdíveis. Para se proteger, é essencial saber identificar e-mails falsos. Sinais básicos incluem verificar o remetente, usar o teste do mouseover para checar links e desconfiar de saudações genéricas. Além disso, técnicas mais avançadas, como spoofing de domínio e ataques homográficos, são frequentemente utilizadas para enganar os usuários. Para evitar ser enganado, recomenda-se não interagir com mensagens suspeitas, não clicar em links e utilizar ferramentas de análise para verificar a segurança de links. A desconfiança é a melhor defesa contra esses ataques.

Após a Black Friday, os consumidores devem estar atentos a uma nova onda de golpes que ocorrem após a finalização das compras. Golpistas utilizam técnicas de phishing e engenharia social para explorar a ansiedade dos consumidores em relação ao recebimento de produtos. Um dos métodos mais comuns envolve o envio de e-mails ou mensagens falsas informando sobre problemas com a entrega, como taxas pendentes ou reembolsos, levando as vítimas a fornecer dados pessoais ou a realizar pagamentos indevidos. Além disso, fraudes mais sofisticadas têm sido registradas, como a devolução de produtos com caixas vazias ou adulteradas, e o uso de dados roubados para solicitar reembolsos indevidos. O Mapa da Fraude 2025 da Serasa Experian indica que, no sábado após a Black Friday, foram bloqueadas 17,8 mil tentativas de fraude, totalizando R$ 27,6 milhões. Para se proteger, os consumidores devem evitar clicar em links suspeitos, verificar a autenticidade das comunicações e utilizar autenticação em duas etapas. A segurança dos sistemas de devolução e reembolso deve ser reforçada pelas empresas para mitigar esses riscos.

Com o aumento das tecnologias de inteligência artificial, o phishing se tornou uma ameaça ainda mais comum na internet. Essa técnica de engenharia social manipula usuários para que acreditem que estão acessando serviços legítimos, levando-os a clicar em links maliciosos. Para se proteger, o artigo sugere algumas estratégias. A primeira é verificar a URL no VirusTotal, uma ferramenta que analisa links e arquivos em busca de malwares. Embora útil, essa abordagem não é infalível, já que domínios de phishing podem mudar rapidamente. Outra dica é passar o cursor sobre o link antes de clicar, permitindo que o usuário veja o endereço real. Se o link parecer suspeito, é importante compará-lo com o site oficial da empresa. Para uma investigação mais profunda, o artigo recomenda usar o ICANN para verificar a infraestrutura do domínio. Além disso, o uso de gerenciadores de senhas e autenticação em dois fatores pode aumentar a segurança. O artigo enfatiza a importância de não clicar em links recebidos por mensagens, preferindo acessar sites diretamente por meio de buscadores. Essas práticas são essenciais para evitar cair em golpes de phishing.

Uma nova campanha de phishing, identificada pela Push Security, utiliza convites falsos do Calendly para roubar contas do Google Workspace e do Facebook. Os cibercriminosos se passam por recrutadores de marcas conhecidas, como Disney e Uber, criando e-mails que imitam comunicações legítimas. A técnica de spoofing é empregada para usar nomes de funcionários reais, aumentando a credibilidade do golpe. Ao clicar no link do convite, a vítima é direcionada a uma página falsa do Calendly, que utiliza CAPTCHA, e posteriormente a uma página de phishing que tenta capturar as credenciais de login. A campanha é direcionada principalmente a contas de gestores de anúncios do Google, com mecanismos de proteção contra análise, como bloqueadores de VPN. O uso de inteligência artificial para criar os e-mails e as páginas de phishing torna o ataque ainda mais sofisticado e perigoso, especialmente por contornar a autenticação em duas etapas. Com 31 URLs identificadas, a ameaça se espalha rapidamente, exigindo atenção redobrada dos usuários e das empresas.

Uma pesquisa da Redbelt Security revelou um aumento alarmante de 75% no Golpe da Tarefa, também conhecido como Golpe das Missões ou da Renda Extra, que se tornou uma das principais ameaças cibernéticas no Brasil. Em setembro de 2024, foram identificados 128 grupos ativos na deep web, um salto significativo em relação aos 73 grupos do ano anterior. Essa fraude, originada no sudeste asiático, foi adaptada ao contexto brasileiro, utilizando plataformas como Telegram e WhatsApp para atrair vítimas com propostas de trabalho temporário e pequenas tarefas remuneradas. Inicialmente, os golpistas oferecem pagamentos baixos para criar confiança, mas logo começam a exigir depósitos progressivos, levando a perdas financeiras significativas. O golpe evoluiu para uma fraude híbrida, combinando phishing, engenharia social e distribuição de malwares, incluindo trojans que podem comprometer dispositivos móveis. Os criminosos se aproveitam da reputação de grandes marcas para enganar as vítimas, o que também prejudica a imagem dessas empresas. A situação exige uma resposta não apenas em termos de segurança digital, mas também de educação social, para que os usuários aprendam a desconfiar de ofertas que parecem boas demais para serem verdade.

Recentemente, o cenário de cibersegurança tem sido marcado por uma série de incidentes significativos que evidenciam a constante evolução das ameaças digitais. Um dos casos mais alarmantes foi o ataque ao pool yETH da Yearn Finance, que resultou na perda de aproximadamente 9 milhões de dólares devido a uma falha na contabilidade interna do protocolo. O atacante explorou uma vulnerabilidade que permitiu a criação de uma quantidade astronômica de tokens, destacando a eficiência do ataque no contexto de finanças descentralizadas (DeFi).

O cenário de cibersegurança está mudando drasticamente com a ascensão de ferramentas de inteligência artificial que facilitam ataques de phishing. Hoje, até mesmo indivíduos sem habilidades de programação podem lançar campanhas sofisticadas, equiparando-se a hackers patrocinados por estados. O artigo destaca três ferramentas principais que estão transformando o panorama das ameaças: WormGPT, que gera e-mails de comprometimento empresarial (BEC) com alta personalização; FraudGPT, um serviço de hacking que oferece um conjunto completo de ferramentas por uma assinatura mensal; e SpamGPT, que permite testes A/B em fraudes em larga escala. A eficácia das estratégias tradicionais de detecção de e-mails está em declínio, pois as mensagens geradas por IA são indistinguíveis das legítimas. A solução proposta é mudar o foco da defesa, não apenas bloqueando e-mails, mas protegendo identidades e neutralizando ataques no ponto de acesso, garantindo que os hackers não consigam obter credenciais. O artigo conclui que, para enfrentar essa nova realidade, é essencial que as empresas adotem uma abordagem proativa e inteligente na defesa contra essas ameaças emergentes.

Um homem de 44 anos foi condenado a sete anos e quatro meses de prisão na Austrália por realizar um ataque do tipo ’evil twin’, onde criou uma rede Wi-Fi falsa em voos domésticos. O criminoso, cuja identidade não foi revelada, foi indiciado em julho de 2024 após a polícia confiscar seus equipamentos e confirmar sua participação em atividades maliciosas em aeroportos de Perth, Melbourne e Adelaide. O ataque consistia em configurar um ponto de acesso Wi-Fi com o mesmo nome da rede legítima, enganando os passageiros que se conectavam a ele. Assim que conectados, os usuários eram redirecionados para uma página de phishing que coletava dados de redes sociais. O criminoso tinha como alvo principal mulheres, buscando acessar suas credenciais para monitorar suas atividades online e roubar conteúdos privados. Para se proteger de ataques semelhantes, especialistas recomendam o uso de VPNs, gerenciadores de senhas e a desativação da conexão automática ao Wi-Fi, além de considerar o uso de hotspots pessoais em vez de redes públicas.

Pesquisadores da Unit 42, da Palo Alto Networks, alertam sobre o uso de Grandes Modelos de Linguagem (LLMs) por cibercriminosos. Ferramentas como WormGPT 4 e KawaiiGPT estão sendo utilizadas para facilitar a criação de malwares e ataques cibernéticos. O WormGPT, que ressurgiu em sua quarta versão, permite que hackers, mesmo sem experiência, desenvolvam códigos de ransomware e mensagens de phishing. Por exemplo, foi solicitado ao WormGPT que criasse um código para encriptar arquivos PDF em sistemas Windows, resultando em um script PowerShell que utiliza o algoritmo AES-256. Já o KawaiiGPT, uma alternativa comunitária, pode gerar mensagens de spear-phishing e scripts para movimentação lateral em sistemas, demonstrando a facilidade com que cibercriminosos podem automatizar ataques. Ambas as LLMs têm atraído a atenção de hackers, com comunidades ativas no Telegram, o que torna a situação ainda mais preocupante para a cibersegurança. A análise indica que o uso dessas ferramentas não é mais uma ameaça teórica, mas uma realidade crescente, exigindo atenção redobrada das empresas para proteger seus dados e sistemas.